Rủi ro an ninh mạng (ANM) đang ngày càng trở thành mối đe dọa lớn đối với tính toàn vẹn, hiệu quả và sự ổn định của các thị trường tài chính toàn cầu. (Cyber risk constitutes a growing and significant threat to the integrity, efficiency and soundness of financial markets worldwide). Trước thực tế là mối nguy hiểm này đang ảnh hưởng đến nhiều lĩnh vực của thị trường chứng khoán (TTCK), cơ quan quản lý và các thành viên TTCK cần có biện pháp để nhận diện và quản lý rủi ro ANM. (In view of the fact that this threat impacts many different components of securities markets, securities regulators and market participants need methods to identify and manage the cyber risk).
Rủi ro anh ninh mạng là gì (What is cyber risk)? Rủi ro ANM là những hệ quả tiêu cực tiềm ẩn mà các cuộc tấn công trên mạng có thể gây ra. (Cyber risk refers to the potential negative outcomes associated with cyber attacks). Các cuộc tấn công trên mạng được định nghĩa là những nỗ lực nhằm làm suy giảm tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu máy tính hoặc của các hệ thống máy tính. (Cyber attacks can be defined as attempts to compromise the confidentiality, integrity and availability of computer data or systems). Đảm bảo ANM là việc triển khai các hoạt động cần thiết nhằm làm giảm rủi ro ANM, gồm có việc xác định rủi ro, phòng vệ, phát hiện, đối phó và phục hồi trước các cuộc tấn công trên mạng. (Cyber security encompasses all of the important activities associated with mitigating cyber risk, namely to identify, protect, detect, respond, and recover from cyber attacks). Lĩnh vực tài chính, chứng khoán là một trong những mục tiêu trọng điểm của các cuộc tấn công trên mạng. (Financial, securities sector is one of the prime targets of cyber attacks).
Cơ quan quản lý TTCK có thể làm gì (What securities regulators can do)?
gulators can do)? Trên thế giới, các chính phủ và cơ quan quản lý tài chính hiện đang có những bước đi quan trọng trong việc giảm thiểu nguy cơ rủi ro ANM trên thị trường tài chính. (Across the world, governments and financial authorities are taking important steps to mitigate cyber risks in financial markets). Nhận thức được tầm quan trọng ngày càng lớn của rủi ro ANM, nhiều nước đã đưa vấn đề đảm bảo ANM vào quy định quản lý TTCK cũng như đặt ra các tiêu chuẩn kỹ thuật yêu cầu các đối tượng quản lý phải tuân thủ. (Reflecting the growing importance of cyber risk, cyber security is now governed in many countries by securities regulations and technical requirements that regulated entities are expected to comply with). Các đối tượng quản lý phải có hệ thống quản trị rủi ro (QTRR) phù hợp, sẵn sàng để giảm thiểu nguy cơ xảy ra rủi ro ANM, ví dụ như lắp đặt đầy đủ các thiết bị an toàn điện tử, đảm bảo tuân thủ các tiêu chuẩn về ổn định tài chính, báo cáo cơ quan có thẩm quyền về các sự cố xảy ra, có biện pháp phòng vệ hợp lý đối với giao dịch điện tử. (The regulated entities are expected to have appropriate risk management systems in place to minimize their exposure to cyber risks, by, for instance, implementing adequate physical electronic security arrangements, ensuring compliance with financial stability standards, notifying appropriate authorities of incidents, and having appropriate protections for electronic trading).
Nhiều nước có quy định quản lý cụ thể về đảm bảo ANM, trong khi một số nước khác lại đặt ra các tiêu chuẩn phi quản lý dưới các hình thức như: các quy tắc quản lý tự quản, các quy trình hệ thống QTRR hoặc tài liệu hướng dẫn về đảm bảo an toàn thông tin và ANM. (Some jurisdictions have specific regulatory requirements regarding cyber security, while others have non-regulatory requirements relating to cyber security that are for instance part of self-regulatory governance rules, risk control systems procedures or guidelines regarding information and cyber security).
Các cơ quan quản lý TTCK trên thực tế đang đóng nhiều vai trò và áp dụng nhiều biện pháp khác nhau nhằm hỗ trợ cho các thành viên thị trường tăng cường các biện pháp đảm bảo ANM. (Securities regulators do indeed play a variety of roles and have adopted various tools in order to help enhance the cyber security frameworks of market participants). Các cơ quan quản lý TTCK đã chú trọng nâng cao trình độ nhận thức về đảm bảo ANM thông qua tăng cường kiểm tra, ban hành các tài liệu hướng dẫn hoặc ban hành các văn bản quản lý. (The securities regulators have chosen to raise awareness levels regarding cyber security through the use of examination sweeps and the issuance of guidelines or frameworks).
Hoạt động của các thành viên thị trường nhằm tăng cường đảm bảo ANM (Market participant practices to enhance cyber security
Các tổ chức là đối tượng quản lý của cơ quan quản lý TTCK và các thành viên thị trường khác cần tiến hành rà soát phạm vi, mức độ hoạt động sao cho phù hợp với mục tiêu đảm bảo ANM và khả năng chịu đựng rủi ro của mình. (The regulated entities and other market participants should consider to what extent such practices might be appropriate given their own cyber security objectives and risk tolerance). Các bước tiếp cận bao gồm (the steps of approach includes):
Nhận diện (Identification). Quản trị hợp lý là trung tâm của một cơ chế đảm bảo ANM hiệu quả. (Appropriate governance is at the heart of any effective cyber security framework). Cơ cấu quản trị do các thành viên thị trường thiết lập nhằm đối phó với các vấn đề ANM, có sự tham gia của ban quản lý và hội đồng quản trị, là điều tối cần thiết cho hiệu quả của một cơ chế đảm bảo ANM cho doanh nghiệp nói chung. (The governance structure established by market participants to deal with cyber security issues, including the involvement of senior management and company boards, is paramount for the effectiveness of the overall information security framework). Đảm bảo ANM phải là một phần không thể tách rời của chương trình QTRR của các thành viên thị trường. (Cyber security should be an integral part of an entity’s risk management program).
Phòng vệ (Protection). Các biện pháp phòng vệ đó có thể là về cơ cấu tổ chức (như thành lập các trung tâm hoạt động ANM) hoặc kỹ thuật (như hệ thống phòng chống virus và chống xâm nhập). (Such measures can be organizational (like the establishment of security operations centers) or technical (like anti-virus and intrusion prevention systems)).
Đào tạo cán bộ và tăng cường nhận thức cũng là một phần quan trọng của chương trình đảm bảo ANM. (In addition, employee training and awareness initiatives are critical parts of any cyber security program). Cần có các bài kiểm tra dựa trên tình huống giả định nhằm đánh giá mức độ sẵn sàng của cán bộ trong đối phó với nguy cơ ANM. (Mock tests can also be conducted to assess employees’ preparedness).
Phát hiện (Detection). Cần thực hiện giám sát bên ngoài và giám sát bên trong đối với dòng lệnh và lịch sử đặt lệnh nhằm phát hiện các kiểu truy cập bất thường (ví dụ như hành vi bất thường của người sử dụng, thời gian kết nối đơn lẻ, hoặc nguồn kết nối lạ) và các hiện tượng bất thường khác. (External and internal monitoring of traffic and logs generally should be used to detect abnormal patterns of access (e.g. abnormal user activity, odd connection durations, and unexpected connection sources) and other anomalies).
Phản hồi (Response). Các yếu tố cần thiết của kế hoạch phản hồi bao gồm (Elements associated with response plans may include): xây dựng kế hoạch truyền thông/ thông tin để thông báo cho những người có lợi ích liên quan (preparing communication/notification plans to inform relevant stakeholders); thực hiện phân tích chẩn đoán để nắm được chi tiết của cuộc tấn công; (conducting forensic analysis to understand the anatomy of an attack); duy trì cơ sở dữ liệu ghi lại các cuộc tấn công trên mạng (maintaining a database recording cyber attacks); thực hiện luyện tập giả định tình huống, các bài tập mô phỏng cụ thể cho một công ty cũng như xây dựng kịch bản cho toàn ngành (conducting cyber drills, firm-specific simulation exercises as well as industry-wide scenario exercises)
Khôi phục (Recovery). Cơ quan quản lý cần có sẵn kế hoạch khôi phục năng lực hoặc dịch vụ bị các cuộc tấn công trên mạng làm cho vô hiệu. (The regulated entities to have plans in place to restore any capabilities or services that were impaired). Cần xác định thời gian khôi phục và các mục tiêu trọng điểm cần khôi phục. (Regulated entities generally should consider defining recovery time and recovery point objectives). Khi xây dựng kế hoạch, cần có các tình huống giả định nhằm đánh giá mức độ hiệu quả của kế hoạch khôi phục nhằm củng cố kịp thời. (As with response planning, conducting regular drills is important to assess the effectiveness of the recovery planning, and to make necessary improvements).
Cuối cùng, chia sẻ thông tin giữa các cơ quan quản lý và thành viên thị trường mang lại nhiều lợi ích, nhờ đó các tổ chức khai thác được trí tuệ, năng lực, kiến thức và kinh nghiệm của cả cộng đồng về ANM. (Finally, information sharing among regulators and market participants provides numerous benefits by notably allowing organizations to tap into a broader community’s intelligence, capabilities, knowledge and experience related to cyber security).